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SBRIEF VAN DE MINISTER VAN VOLKSGEZONDHEID, WELZIJN 
EN SPORT 


Aan de Voorzitter van de Tweede Kamer der Staten-Generaal 
Den Haag, 16 maart 2016 

In de Regeling van Werkzaamheden van 2 maart jongstleden (Hande¬ 
lingen II 2015/16, nr. 59, Regeling van Werkzaamheden) heeft u mij 
gevraagd u nader te informeren over de wijze waarop de bescherming 
van patiëntgegevens wordt geborgd. 

De afgelopen maanden zijn er diverse berichten in de media verschenen 
over het onzorgvuldig omgaan met privacygevoelige gegevens van 
patiënten binnen, of door ziekenhuisorganisaties. De vertrouwelijkheid 
van medische informatie en de vertrouwelijke omgang met patiëntge¬ 
gevens is in de gezondheidszorg essentieel en is een kernwaarde voor 
zowel patiënten als zorgaanbieders. Ziekenhuizen en zorgverleners zijn 
hier in eerste plaats zelf voor verantwoordelijk en moeten voldoen aan 
Europese en nationale wettelijke voorschriften. Ze moeten voldoende 
maatregelen treffen om de veiligheid van medische gegevens te kunnen 
garanderen en voldoen aan de wettelijke normen die gelden voor de 
verwerking van persoonsgegevens. Als deze kernwaarden worden 
aangetast, dan wordt het vertrouwen van patiënten ernstig geschaad en 
bovenal raakt het direct het vertrouwen van de samenleving in de 
gezondheidszorg. Overigens zal het ook een negatieve weerslag op de 
reputatie van de zorgaanbieders hebben. Daarom vraagt bescherming van 
patiëntgegevens binnen zorginstellingen nauwgezette en doorlopende 
aandacht. In deze brief beschrijf ik welke acties op dit punt ingezet zullen 
worden. 

Zoals gezegd vind ik de vertrouwelijkheid van medische gegevens een 
kernwaarde in zorg die niet ter discussie mag staan. 

De Autoriteit Persoonsgegevens (AP) is ter zake de toezichthouder en 
heeft op 16 februari 2016 nog een brief aan de Raden van Bestuur van 
zorginstellingen gestuurd waarin zij worden gevraagd zich te beraden op 
de stand van zaken van de beveiliging van patiëntgegevens en daar waar 
nodig gepaste maatregelen te nemen. Deze brief werd gestuurd naar 
aanleiding van een diepgaand onderzoek dat de AP eerder deed bij 
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zorginstellingen naar de toegang tot de gegevens van patiënten in 
elektronische patiëntendossiers. De AP constateerde destijds dat de 
technische en organisatorische maatregelen bij de onderzochte instel¬ 
lingen onvoldoende waren, waardoor veel meer mensen dan alleen de 
bevoegde medewerkers toegang hadden tot digitale patiëntendossiers. Er 
bleken bij deze instellingen intensieve verbetertrajecten nodig om de 
overtredingen te beëindigen. 

Om het grote belang de zorgvuldige omgang met persoonsgegevens te 
benadrukken en om zaken (verder) te verbeteren, zal ik ook zelf onderzoek 
laten doen naar de vraag op welke wijze zorginstellingen (ziekenhuizen en 
instellingen voor geestelijke gezondheidszorg) in de dagelijkse praktijk 
omgaan met de beveiliging van hun patiëntgegevens en hoe hierin 
verbetering kan worden aangebracht. Het is mijns inziens vooral de kunst 
om het belang van de bescherming van patiëntgegevens verankerd te 
krijgen in de praktijk van de zorginstelling, in het gedrag van leidingge¬ 
venden en medewerkers én in de (aanspreek) cultuur in de zorginstel¬ 
lingen. Ik zal zeer binnenkort overleggen met de koepels van de zieken¬ 
huizen en GGZ-instellingen over welke exacte onderzoeksvraag het meest 
behulpzaam zal zijn om het doel te realiseren. De onderzoeksvraag zal 
aansluiten op de resultaten uit de campagne van de Nederlandse 
Vereniging van Ziekenhuizen (NVZ) die liep van 26 oktober tot 6 november 
2015. De NVZ-campagne met de naam ZEKER stimuleerde bewustwording 
en eigen verantwoordelijkheid bij het omgaan met gevoelige informatie. 

In ieder geval vind ik het belangrijk dat in het onderzoek specifiek 
aandacht wordt besteed aan de wijze van omgaan met incidenten van 
schending van de bescherming van patiëntgegevens, die zich nu eenmaal 
altijd onverhoopt voor kunnen doen. In dit verband noem ik ook de 
meldplicht datalekken die sinds 1 januari jl. van kracht is. En ook zal -naar 
aanleiding van de specifieke berichtgeving- aandacht geschonken worden 
aan de situaties waarin gewerkt wordt met onderaannemers, bijvoorbeeld 
voor het digitaliseren van patiëntgegevens, en aan de bescherming van 
gegevens die worden gebruikt ten bate van wetenschappelijk onderzoek. 

Ik zal uw Kamer over de uitkomsten van dit onderzoek eind 2016 
informeren. 

Meer specifiek heeft uw Kamer gevraagd om informatie over de 
werkzaamheden rond het digitaliseren van patiëntendossiers van 
ziekenhuizen, uitgevoerd door Belgische gevangenen in de gevangenis 
van Leuven. Zoals ik in mijn eerdere antwoorden op verschillende 
Kamervragen reeds heb aangegeven, vind ik uitvoering van deze 
werkzaamheden door Belgische gevangenen, hoewel in principe legaal, 
een onwenselijke situatie. De onduidelijkheid van de al dan niet 
zorgvuldige omgang met patiëntgegevens vraagt om opheldering. 
Zorgaanbieders moeten op de hoogte zijn door wie en op welke wijze 
werkzaamheden door derde partijen worden uitgevoerd. Dit moet 
vastgelegd zijn in een bewerkersovereenkomst. Patiënten moeten er op 
kunnen vertrouwen dat de bescherming van medische informatie is 
gegarandeerd door de ziekenhuizen. 

Navraag bij verschillende partijen leert dat het uitvoeren van deze 
werkzaamheden in gevangenissen momenteel niet meer voorkomt. De 
werkzaamheden die in de gevangenis zijn uitgevoerd, betroffen het 
verwijderen van nietjes, paperclips en omslagen. Het scannen zelf 
gebeurde niet in de gevangenis. Deze werkzaamheden zijn uitgevoerd 
vanaf 2009 tot en met februari 2015. In de periode dat dossiers in de 
gevangenis van Leuven werden voorbereid, zijn er opdrachten verricht 
voor in totaal negen Nederlandse ziekenhuizen. Het scanklaar maken van 
de dossiers in de gevangenis, viel deels onder de verantwoordelijkheid 
van de Belgische overheid. Het bedrijf dat verantwoordelijk is voor de 
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werkzaamheden geeft aan hiervoor gecertificeerd te zijn. Deze certificering 
gold ook voor de werkprocessen in de gevangenis. 

De regels voor de omgang met en opslag van bijzondere persoonsge¬ 
gevens, zoals medische gegevens van patiënten, zijn vastgelegd in de Wet 
bescherming persoonsgegevens (Wbp). De Autoriteit Persoonsgegevens 
(AP) houdt toezicht op de naleving en kan dit zo nodig met (bestuursrech¬ 
telijke) sancties afdwingen. De AP laat zich over de gang van zaken in de 
Belgische gevangenis (specifiek inzake de zogenoemde bewerkersover- 
eenkomsten) nader informeren om te bezien of er sprake is van overtre¬ 
dingen. De AP heeft ook contact gehad met de Belgische toezichthouder, 
die eerder al een onderzoek startte. 

De Inspectie voor de Gezondheidszorg (IGZ) ziet toe op de naleving van 
relevante wet- en regelgeving op het gebied van informatiebeveiliging in 
de zorg, voor zover die raakt aan kwaliteit en veiligheid van zorg. Het gaat 
hierbij om: 

- De Wet Kwaliteit, Klachten en Geschillen Zorg (Wkkgz). Dit is het 
raamwerk dat voorschrijft dat zorgaanbieders gehouden zijn goede 
zorg te leveren. 

- NEN 7510 - dit is de leidraad voor veilige omgang met informatie in de 
gezondheidszorg. 

- NEN 7512 - dit is de leidraad voor gegevensuitwisseling. 

- NEN 7513 - dit is de leidraad voor het vastleggen van acties op 
elektronische patiëntdossiers. 

De Inspectie is dientengevolge niet bevoegd om toezicht te houden op de 
Wbp, maar heeft wel een samenwerkingsprotocol met de AP waarin zij 
wederzijdse afspraken hebben gemaakt over de wijze van samenwerking 
voor het uitoefenen van toezicht op de verwerking van persoonsgegevens 
en de bescherming van de persoonlijke levenssfeer binnen de gezond¬ 
heidszorg. In dat kader zal de Inspectie nadrukkelijk aandacht vragen om 
de informatieveiligheid van medische gegevens te borgen en de naleving 
van de genoemde relevante wet- en regelgeving. De Inspectie stuurt in dat 
kader op zeer korte termijn een brief aan koepels van ziekenhuizen en 
voor de geestelijke gezondheidszorg waarin zij nadrukkelijk op hun 
verantwoordelijkheid worden gewezen, en tevens aandacht wordt 
gevraagd voor de voorgeschreven handelwijze bij een schending van 
vertrouwelijkheid van medische informatie. De Inspectie betrekt risico's 
voor kwaliteit en veiligheid van zorg die samenhangen met de overgang 
van papieren naar elektronische patiëntendossiers in haar risicogestuurde 
toezicht. 

Ik zal tenslotte bezien of de regelgeving ter zake aanscherping behoeft. 
Bewerking van de dossiers door gevangenen acht ik onwenselijk, maar 
kan zoals gezegd legaal zijn. Ik ben van mening dat we dit in de toekomst 
moeten voorkomen en zal bezien op welke wijze dit het beste kan. 

De Minister van Volksgezondheid, Welzijn en Sport, 

E.l. Schippers 
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